Google pada hari Rabu mengungkapkan bahwa aktor ancaman yang disponsori negara Cina yang dikenal sebagai APT41 memanfaatkan malware yang disebut ToughProgress yang menggunakan Google Calendar untuk Command-and-Control (C2).
Raksasa teknologi, yang menemukan kegiatan pada akhir Oktober 2024, mengatakan malware itu di -host di situs web pemerintah yang dikompromikan dan digunakan untuk menargetkan beberapa entitas pemerintah lainnya.
“Penyalahgunaan layanan cloud untuk C2 adalah teknik yang dimanfaatkan banyak aktor ancaman untuk berbaur dengan aktivitas yang sah,” kata peneliti Google Ancaman Intelijen (GTIG) Patrick Whitsell.
APT41, juga dilacak sebagai aksioma, blackfly, topan kuningan (sebelumnya barium), atlas perunggu, bumi Baku, hoodoo, kelpie merah, ta415, panda jahat, dan winnti, adalah nama yang ditugaskan ke media yang produktif, dan hunian yang dikenal karena targetnya pemerintah dan organisasi di dalam global dan logistik.
Pada bulan Juli 2024, Google mengungkapkan bahwa beberapa entitas yang beroperasi dalam industri ini vertikal di Italia, Spanyol, Taiwan, Thailand, Turki, dan Inggris ditargetkan oleh “kampanye berkelanjutan” menggunakan kombinasi kerang web dan tetesan seperti Antword, BlueBeam, Dustpan, dan Dusttrap.
Kemudian awal tahun ini, sub-cluster dalam payung APT41 diidentifikasi sebagai perusahaan Jepang yang menyerang di sektor manufaktur, bahan, dan energi pada Maret 2024 sebagai bagian dari kampanye yang dijuluki Revivalstone.
Rantai serangan terbaru yang didokumentasikan oleh Google melibatkan pengiriman email phishing tombak yang berisi tautan ke arsip zip yang diselenggarakan di situs web pemerintah yang dieksploitasi. File ZIP menyertakan direktori dan jalan pintas Windows (LNK) yang menyamar sebagai dokumen PDF. Direktori ini menampilkan tujuh gambar arthropoda yang berbeda (dari “1.jpg” hingga “7.jpg”).
Infeksi dimulai ketika file LNK diluncurkan, menyebabkan umpan PDF disajikan kepada penerima yang menyatakan spesies yang ditarik dari direktori perlu dinyatakan untuk diekspor. Namun, perlu dicatat bahwa “6.JPG” dan “7.JPG” adalah gambar palsu.
“File pertama sebenarnya adalah muatan terenkripsi dan didekripsi oleh file kedua, yang merupakan file DLL yang diluncurkan ketika target mengklik LNK,” kata Whitsell, menambahkan bahwa malware mengimplementasikan berbagai teknik siluman dan penghindaran, seperti muatan memori, enkripsi, kompresi, dan pengendalian pengamatan aliran.
Malware terdiri dari tiga komponen berbeda, yang masing -masing digunakan secara seri dan dirancang untuk menjalankan fungsi tertentu –
- Plusdrop, DLL yang digunakan untuk mendekripsi dan menjalankan tahap berikutnya dalam memori
- PlusInject, yang meluncurkan dan melakukan proses pelindung pada proses “svchost.exe” yang sah untuk menyuntikkan muatan akhir
- ToughProgress, malware utama yang menggunakan Kalender Google untuk C2
Malware ini dirancang untuk membaca dan menulis acara dengan Kalender Google yang dikendalikan oleh penyerang, membuat acara nol menit pada tanggal yang dikodekan (2023-05-30) untuk menyimpan data yang dipanen dalam deskripsi acara.
Operator menempatkan perintah terenkripsi dalam acara kalender pada 30 dan 31 Juli 2023, yang kemudian disurvei oleh malware, didekripsi, dieksekusi pada host Windows yang dikompromikan, dan hasil yang ditulis kembali ke acara kalender lain dari mana mereka dapat diekstraksi oleh para penyerang.
Google mengatakan telah mengambil langkah untuk menjatuhkan Kalender Google yang berbahaya dan mengakhiri proyek -proyek ruang kerja terkait, sehingga menetralkan seluruh kampanye. Ia juga mengatakan bahwa organisasi yang terkena dampak diberitahu. Skala pasti kampanye tidak jelas.
Ini bukan pertama kalinya APT41 memiliki layanan Google yang dipersenjatai untuk keuntungannya. Pada bulan April 2023, Google mengungkapkan bahwa aktor ancaman menargetkan organisasi media Taiwan yang tidak disebutkan namanya untuk mengirimkan alat tim merah open-source berbasis GO yang dikenal sebagai Google Command and Control (GC2) yang dikirimkan melalui file yang dilindungi kata sandi yang di-host di Google Drive.
Setelah diinstal, GC2 bertindak sebagai backdoor untuk membaca perintah dari Google Sheets dan Exfiltrate Data menggunakan layanan penyimpanan cloud.
